普林斯顿CITP中心的隐私专家警告称,广告公司和分析公司能够使用隐藏的登录字段从浏览器中提取站点用户名并将访问站点的非认证用户和用户在该域名上的资料或邮件捆绑在一起。这种滥用行为是很有可能存在的,因为所有浏览器中都包含的登录管理器中存在一个设计缺陷,这个登录管理器用于让浏览器记住某个站点上用户的用户名和密码并在用户再次访问时自动插入登录字段中。
专家表示,web追踪器能将隐藏的登录表单内嵌在加载追踪脚本的站点上。鉴于登录管理器的运行方式,浏览器会将用户登录信息如用户名和密码填充在这些字段中。
老设计缺陷 新滥用手法
虽然这种攻击技术在十多年前就已出现,不过直到现在才被黑客用于在XSS攻击中收集登录信息。
研究人员表示最近发现两家web追踪服务Adthink (audienceinsights.net) 和 OnAudience (behavioralengine.com) 利用这些隐藏的登录表单收集登录信息。好在这两家服务并未收集密码信息,只是收集用户的用户名或邮件地址(取决于每个域名用于登录进程的信息)。研究人员表示已发现这两家服务收集Alexa排名前100万站点中1110个站点的登录信息。
窃取用户登录信息完善广告追踪资料
这两家公司从登录字段中提取用户名/邮件、创建一个哈希并将它和访客的现有广告资料捆绑在一起。
邮件地址是唯一的且长久的,因此邮件地址的哈希是一个出色的追踪识别符。用户的邮件地址几乎永远不会改变,清除cookie、使用安全浏览模式或者切换设备都不会阻止遭追踪。邮件地址的哈希可用于连接用户散落在不同浏览器、设备和移动app中的信息,同时也可作为cookie清理前和清理后的浏览历史链接,经哈希的邮件地址并非匿名识别符。
研究人员还创建了一个演示页面供用户(通过虚假凭证)测试浏览器的登录管理器是否被填入隐藏字段中。截至本文成稿前,除Brave以外的所有主流浏览器均易遭此类攻击,从隐藏的登录字段中提取用户名和密码。只有基于Chromium的浏览器会在用户通过点击和页面交互后才会披露用户密码,但这种方法的安全性并不是很高,因为多数用户最终会点击页面。
将违反欧盟的GDPR规定
但这种秘密收集用户数据行为所带来的问题并不局限于个人用户的隐私。独立网络安全研究员兼隐私研究员兼普林斯顿CITP中心员工Lukasz Olejnik博士表示,这类web追踪器导致加载脚本的站点面临更加复杂的问题。很多站点所有人可能都并未意识到这种追踪技术存在问题,也就是说他们并未意识到他们很可能明显违反了欧盟即将实施的GDPR(通用数据保护条例)规定。
阻止此类攻击的最简单方法就是,判断浏览器是否仅在用户和真实的登录字段交互后才会自动填充登录字段。如果登录字段被隐藏,而用户不跟字段进行交互,那么这种攻击就无法实施。